Wer hat ein Verzeichnis umbenannt?

11

Ich konnte nirgendwo eine Antwort darauf finden. Wie kann ich wissen, wer ein Verzeichnis umbenannt hat?

ls -al Zeigt nur den Namen des Benutzers an, der dieses Verzeichnis erstellt hat.

StupidKris
quelle
17
"ls -al zeigt nur den Namen des Benutzers an, der dieses Verzeichnis erstellt hat." Nein. Es zeigt den Namen des Benutzers, dem dieses Verzeichnis "gehört".
Roger Lipscombe
1
@RogerLipscombe, das, sofern nicht jemand ( rootnur auf den meisten Systemen beschränkt) ein chownVerzeichnis erstellt hat, die effektive UID des Prozesses ist, der dieses Verzeichnis erstellt hat.
Stéphane Chazelas
6
Sicher, normalerweise sind sie gleich, aber sie müssen es nicht sein .
Roger Lipscombe

Antworten:

30

Dies sind keine Informationen, die normalerweise aufgezeichnet werden, es sei denn, Sie haben diesbezüglich eine besondere Disposition getroffen (wie über ein Audit-System).

Der Dienst, über den der Benutzer das Verzeichnis umbenannt hat (z. B. über FTP, SFTP, WebDAV, Samba ...), verfügt möglicherweise über Protokolle, die hilfreich sein können. Sie können diese Protokolle versuchen und überprüfen, die last, lastcomm, audit, Authentifizierung meldet sich um die Zeit der Ordner umbenannt wurde.

Wenn Sie Administrator sind, können Sie sich die Verlaufsdatei der Shells der Benutzer ansehen, die die Berechtigung zum Umbenennen hatten (wenn das Verzeichnis von in umbenannt wurde /A/dir, /B/newdirist es derjenige, der Schreibzugriff auf beide hatte /Aund /B(vorausgesetzt, er /Ahatte keine tBit in seinen Berechtigungen und /A/dirund /Bsind auf dem gleichen Dateisystem)).

Stéphane Chazelas
quelle
5

Das kannst du nicht. Da das Umbenennen eines Verzeichnisses (oder einer Datei) einen Eintrag in einem (übergeordneten) Verzeichnis ändert, muss es sich um jemanden mit Schreibberechtigungen für dieses Verzeichnis handeln, der jedoch nirgendwo registriert ist, der Dateien / Verzeichnisse ändert.

Henrik unterstützt die Community
quelle
0

Sie können loggedfs verwenden .

Beschreibung

LoggedFS ist ein sicherungsbasiertes Dateisystem, das alle darin ausgeführten Vorgänge protokollieren kann.

Wie funktioniert es ?

Sicherung macht fast alles. LoggedFS sendet nur dann eine Nachricht an syslog, wenn es von fuse aufgerufen wird, und lässt dann das echte Dateisystem den Rest des Jobs erledigen.

Es ist als Deb in Ubuntu verfügbar. Sehr lustige Sache. Wenn Sie jedoch versuchen, es auf einem ausgelasteten Server zu verwenden, wird der gesamte Speicherplatz leicht beansprucht.

sqkgkahaew
quelle